Našli způsob, jak bezkontaktně utratit peníze z karet Visa bez zadání kódu PIN

Výzkumníci z ETH Zurich našli způsob, jak provádět velké bezkontaktní transakce.

nákupy kartami Visa bez zadání PIN kódu. V současné době mohou zákazníci platit pouze za zboží v hodnotě do 3 000 rublů bez PIN kódu. Objevená zranitelnost nám umožňuje obejít toto omezení.

Vědci tvrdí, že útok lze provéstnepovšimnutý. Podvodník může za položku údajně zaplatit pomocí chytrého telefonu, ale ve skutečnosti bude platba provedena pomocí odcizené bezkontaktní karty Visa ukryté na těle útočníka.

Chyba zabezpečení je způsobena konstrukčními nedostatkyStandard EMV a protokol bezkontaktních plateb Visa. K útoku potřebuje zločinec dva smartphony s Androidem, speciální mobilní aplikaci a bezkontaktní kartu. Na jednom telefonu aplikace funguje jako emulátor karty a na druhém - terminál PoS. Poslední smartphone musí být blízko mapy. Nákup zaplatí druhá osoba.

Emulátor terminálu PoS požádá kartu o provedení platby, poté upraví data transakce a předá informace přes Wi-Fi do jiného smartphonu. Platba z něj probíhá bez PIN kódu.

Vědci již tuto metodu otestovali na smartphonech Huawei a Google Pixel ve skutečných obchodech.